使用openssl自签发泛域名证书

使用openssl自签发泛域名证书

openssl自签发泛域名(通配符)证书

首先要有openssl工具,如果没有那么使用如下命令安装:

 [root@sre ~]# yum install -y openssl openssl-devel

修改openssl.cnf配置文件

具体修改如下

[root@sre ~]# vim /etc/pki/tls/openssl.cnf
[ req ]
………………
# 将如下配置的注释放开
req_extensions = v3_req # The extensions to add to a certificate request
 ………………
[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# 添加如下行
subjectAltName = @SubjectAlternativeName

# 同时增加如下信息
[SubjectAlternativeName]
DNS.1 = test.com
DNS.2 = *.test.com

说明:本次我们以 *.test.com 泛域名为例。

创建根证书

  • 创建CA私钥
[root@sre ~]# mkdir /root/ssl && cd /root/ssl
[root@sre ssl]# openssl genrsa -out CA.key 2048
  • 免交互式制作CA公钥、
[root@sre ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=JS/L=NanJing/O=other/OU=other/CN=sre/emailAddress=ca@test.com"

subj内容详解:

1 C             = Country Name (2 letter code)
2 ST            = State or Province Name (full name)
3 L             = Locality Name (eg, city) [Default City]
4 O             = Organization Name (eg, company) [Default Company Ltd]
5 OU            = Organizational Unit Name (eg, section)
6 CN            = Common Name (eg, your name or your server's hostname)
7 emailAddress  = Email Address

CA证书文件有:

[root@sre ssl]# ls -l
total 2
-rw-r--r-- 1 root root 1363 Apr  2 13:11 CA.crt
-rw-r--r-- 1 root root 1675 Apr  2 13:09 CA.key

自签发泛域名证书

  • 操作步骤为:

    生成域名私钥
    生成证书签发请求文件
    使用自签署的CA,生成域名公钥

  • 生成域名私钥
[root@sre ssl]# openssl genrsa -out server.key 2048
  • 免交互式生成证书签发请求文件
[root@sre ssl]# openssl genrsa -out server.key 2048 openssl req -new -sha256 -key server.key -out server.csr -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=JS/L=NanJing/O=other/OU=other/CN=*.test.com/emailAddress=ca@test.com"

ps:

(1)、上面的Common Name 就是在这步填写 *.test.com ,表示的就是该证书支持泛域名,common name一定要在SubjectAlternativeName中包含
(2)、进行CA签名获取证书时,需要注意国家、省、单位需要与CA证书相同,否则会报异常
  • 使用自签署的CA,生成域名公钥【这里证书有效时间为100年】
[root@sre ssl]# openssl genrsa -out server.key 2048 openssl ca -in server.csr -md sha256 -days 36500 -out server.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf

可能出现的问题1:

1 Using configuration from /etc/pki/tls/openssl.cnf
2 /etc/pki/CA/index.txt: No such file or directory
3 unable to open '/etc/pki/CA/index.txt'
4 140652962035600:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r')
5 140652962035600:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

处理方法:创建该文件即可

[root@sre ssl]# openssl genrsa -out server.key 2048 touch /etc/pki/CA/index.txt

可能出现的问题2:

然后我们继续使用 【自签署的CA,签署server.crt】;结果又出现新问题

1 Using configuration from /etc/pki/tls/openssl.cnf
2 /etc/pki/CA/serial: No such file or directory
3 error while loading serial number
4 140087163742096:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r')
5 140087163742096:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

处理方法:使用如下命令即可,表示:用来跟踪最后一次颁发证书的序列号。

[root@sre ssl]# openssl genrsa -out server.key 2048 echo "01" > /etc/pki/CA/serial

之后我们再次执行 【自签署的CA,签署server.crt 】 就正常了。详情如下:

[root@sre ssl]# openssl genrsa -out server.key 2048 openssl ca -in server.csr -md sha256 -days 36500 -out server.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf

Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Apr  2 05:16:52 2022 GMT
            Not After : Mar  9 05:16:52 2122 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = JS
            organizationName          = other
            organizationalUnitName    = other
            commonName                = *.test.com
            emailAddress              = ca@test.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name: 
                DNS:test.com, DNS:*.test.com
Certificate is to be certified until Mar  9 05:16:52 2122 GMT (36500 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n] y  [输入Y]
Write out database with 1 new entries
Data Base Updated

说明:此时我们再看,/etc/pki/CA/index.txt/etc/pki/CA/serial 文件信息。如下:

[root@sre ssl]# cat /etc/pki/CA/index.txt
V    21220309051652Z        01    unknown    /C=CN/ST=JS/O=other/OU=other/CN=*.test.com/emailAddress=ca@test.com

[root@sre ssl]# cat /etc/pki/CA/serial
02

由上可知:域名签署信息已经保存到index.txt文件;并且证书序列serial文件已经更新【从01变为了02】。

PS:

  1. 同一个域名不能签署多次;由于签署了*.test.com,且已经被记录,因此不能再次被签署。除非删除该记录。
  2. 注意index.txt文件和serial文件的关系。serial文件内容为index.txt文件内容行数加1。
  • 查看证书信息
[root@sre ssl]#  openssl x509 -in server.crt -text
  • 验证签发证书是否有效
[root@sre ssl]#  openssl verify -CAfile CA.crt server.crt 
server.crt: OK
  • 此时的文件有:
[root@sre ssl]# ls -l
total 5
-rw-r--r-- 1 root root 1387 Oct  2 10:25 CA.crt
-rw-r--r-- 1 root root 1679 Oct  2 10:04 CA.key
-rw-r--r-- 1 root root 4364 Oct  2 11:42 server.crt
-rw-r--r-- 1 root root 1151 Oct  2 10:48 server.csr
-rw-r--r-- 1 root root 1679 Oct  2 10:44 server.key

客户端导入ca.crt 公钥

客户端导入ca.crt 公钥, 这样本地浏览器就不会显示这个是个不受信任的证书

参考: https://jingyan.baidu.com/article/ca41422fda393f5faf99ed0d.html

本文参考:

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/6866

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年1月31日 下午4:36
下一篇 2023年1月31日 下午4:36

相关推荐

  • Linux系统管理本地 Linux 用户和组

    Linux的用户UID 系统中的每个进程(运行程序)都作为一个特定用户运行。每个文件归一个特定用户所有。对文件和目录的访问受到用户的限制。与运行进程相关联的用户可确定该进程可访问的文件和目录。 用户的分类 root用户 用户系统中唯一,权限最大,可以操作任意命令 普通用户 权限较低,只能编辑自己的用户家目录,由root账户创建 虚拟用户 没有登录系统的权限,…

    2022年6月11日
    28200
  • WordPress升级更新方法详解 –

    为什么Wordpress要升级? 修复上一版本所存在的功能样式BUG,增加新的网站功能,修复网站漏洞,及时打补丁 所以WP更新要准时,而且版本也不要相隔太远,否则升级就有可能出错。而且升级前一定要先把网站备份下来 准备工作:  备份!!!! 1、备份数据库 mysqldump -uroot -p -B wordpress > /root/wo…

    2023年2月27日
    5200
  • Zabbix的Mysql数据库内存占用高问题分析与处理

    问题:1、Zabbix内存使用率高;2、MariaDB没有开启独享表空间 ibdata1是InnoDB的共有表空间,默认情况下会把表空间存放在一个文件ibdata1中,会造成这个文件越来越大. 原因1:使用InnoDB共享表空间存储数据 参数innodb_file_per_table,控制innodb引擎采用共享表空间存储还是独立表空间存储。 参数innod…

    2022年12月30日
    11000
  • 如何在 Ubuntu 20.04 上使用 UFW 来设置防火墙

    防火墙是一个用来监视和过滤进出网络流量的工具。它通过定义一系列安全规则,来决定是否允许或者屏蔽指定的流量。 Ubuntu 自带的防火墙配置工具被称为 UFW (Uncomplicated Firewall)。UFW 是一个用来管理 iptables 防火墙规则的用户友好的前端工具。它的主要目的就是为了使得管理 iptables 更简单,就像名字所说的,简单的…

    6天前
    1400
  • Ping命令详解

    命令简介 ping 命令是 Linux 系统中一个非常常用的网络命令。ping 命令主要用于测试网络的连通性,也可用于测试网络的性能和主机的响应能力。 日常工作中,我们经常会遇到网页无法打开、网址无法请求的情况。这个时候我们的一般操作是 ping 一下网址,比如 ping baidu.com 使用 …

    2023年1月4日
    7800

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信